Eelmise aasta augustis rääkisime siin saidil MacOS High Sierra haavatavusest, mis teeb ruumi kaugrünnakuteks kõnede kaudu kliki sünteetiline – see tähendab toimingut, mis on analoogne klõpsuga, kuid mida tarkvara teeb salaja. Sel ajal kommenteerisime, et makOS Mojave (ja hilisemad versioonid) kõrvaldab probleemi, keelates lihtsalt sünteetilised klikid lõplikult. Kuid nüüd teame, et see pole tõsi.
Teadlane Patrick Wardle – sama, mis avastas haavatavuse mullu augustis – näitas hiljuti, et macOS Mojave esitab jätkuvalt sünteetiliste klikkidega seotud probleeme, kuigi see blokeerib tegevuse. Tulemused avalikustas ta Monacos toimunud Objective By The Sea konverentsil.
Selgitus: vaikimisi blokeerib Mojave tegelikult igasugused sünteetilised klikitoimingud, kuid lohistamine pole laialt levinud. Kuid mõned vanema vundamendiga rakendused toetuvad toimimiseks funktsioonidele – üks näide on VLC, mis nõuab põhitoimingute loomiseks ja pistikprogrammide aktiveerimiseks sünteetilisi klikke. Nende rakenduste töötamiseks macOS-i uuemates versioonides lubab Apple neil klõpsamist jätkata, kui neil on kehtiv digitaalse turvasertifikaat.
Siin on probleem: Wardle’i sõnul on macOS Mojavel rakenduse digitaalsertifikaatide kontrollimise protsessis viga. See sertifikaat on loodud tõrketeate väljastamiseks, kui mõni rakendus on rikutud või sooritab pahatahtlikke toiminguid, nii et sellistel puhkudel blokeerib süsteem selle toimimise kohe. Kuid Mojave kontrollib ainult sellise sertifikaadi olemasolu antud rakenduses, kontrollimata, kas see on tõesti “puhas”.
Selle abil saavad ohustatud rakendused juurdepääsu tundlikele Maci komponentidele, nagu mikrofon, kaamera, sõnumid, asukoht või isegi sügavamad elemendid, nagu Terminal ja tuum masina. Need võimaldavad teil installida ka muud potentsiaalselt ohtlikku tarkvara või isegi pääseda juurde süsteemivõtmetele.
Wardle teatas Apple’ile haavatavusest enne selle avaldamist kogu maailmale, kuid Apple ei kommenteeri juhtumit; loodetavasti töötavad ettevõtte insenerid lahenduse kallal väsimatult, sest rike on tõsine. Ootame selle juhtumi kohta uudiseid.
TechCrunchi kaudu
